Connect with us

Tech

Bug Zero-Day su telefoni Android, come risolverli

Pubblicato

in data

Bug Zero-Day
Tempo di lettura: 3 minuti.

Google ha rivelato la presenza di Bug Zero-Day critici che interessano un’ampia gamma di telefoni Android, inclusi alcuni dei suoi modelli Pixel.

Nuovi Bug Zero-Day in vista per Android. Questi bug sono leggermente diversi dalle solite vulnerabilità di Android. Queste di solito interessano il sistema operativo (basato su Linux) o le applicazioni che lo accompagnano, come Google Play, Messaggi o il browser Chrome.

I quattro bug di cui stiamo parlando qui sono noti come baseband vulnerabilities, il che significa che esistono nel firmware dedicato alla gestione rete cellulare (non sono interessati i sistemi legati al Bluetooth e WiFi). Tale firmware gira sul chip dedicato proprio a questa attività.

Di quali sistemi parliamo?

E’ utile fare una piccola panoramica dell’architettura coinvolta. Questo ci aiuterà a capire dove possono annidarsi questi bug e le conseguenti vulnerabilità. I sistemi baseband in genere funzionano indipendentemente dai componenti non strettamente legati alla gestione telefonica. Eseguono di fatto un proprio sistema operativo, su un proprio processore, e lavorano insieme al sistema operativo principale del dispositivo per fornire connettività di rete mobile per effettuare e rispondere a chiamate, inviare e ricevere dati, roaming sulla rete ecc…Si tratta quindi di hardware e software baseband dedicati che costituiscono un modem integrato all’interno di quello che viene chiamato SoC del telefono (system on chip). Si tratta una ulteriore integrazione dei vari componenti che prima erano connessi attraverso la scheda madre.

I danni potenziali

Da questa piccola panoramica si può intuire come il nostro smartphone non è solo a rischio di cybercriminali a causa di bug nel sistema operativo principale o in una delle App. Lo è anche a a causa del sottosistema baseband che abbiamo descritto.

Questo tipo di bug consente a un utente malintenzionato di entrare nel modem e, potenzialmente, nel sistema operativo principale utilizzando con opportune tecniche. Anche non entrando nel sistema operativo principale però è possibile fare danni come “fiutare” i dati di rete che passano, accedere a messaggi di testo, monitorare le chiamate telefoniche e altro.

L’argomento poi si complica considerando che HW e SW Baseband dipendono dal dispositivo specifico che abbiamo e non dagli aggiornamenti derivanti dalla varie versioni di Android. Anche i dispositivi che sono sotto tutti gli aspetti uguali potrebbero avere chip baseband diversi a seconda di quale fabbrica li ha assemblati o in quale mercato sono stati venduti.

I Bug scoperti

I bug scoperti di recente da Google sono così descritti:

  • CVE-2023-24033 (e altre tre vulnerabilità a cui devono ancora essere assegnate identità CVE) consentivano l’esecuzione di codice remoto da Internet verso la baseband. I test condotti da Google stessa, nell’ambito del suo Project Zero, confermano che queste quattro vulnerabilità consentono a un utente malintenzionato di compromettere da remoto il telefono a livello baseband. E’ sufficiente che l’attaccante conosca il numero di telefono della vittima.

Su questa base è verosimile che con attività di ricerca e sviluppo aggiuntive abili aggressori sarebbero in grado di creare rapidamente un exploit operativo per compromettere i dispositivi interessati in modo silenzioso e da remoto. I criminali potrebbero iniettare malware o spyware proprio in quella parte del telefono che invia e riceve dati di rete. Il tutto senza mettere le mani sul dispositivo.

C’erano 18 bug in questo ultimo batch, segnalati da Google tra la fine del 2022 e l’inizio del 2023. Google afferma che sta rivelando la loro esistenza ora perché è trascorso il tempo concordato (90 giorni) da quando sono stati individuati. In particolare per i quattro bug di cui sopra, la società non sta rivelando alcun dettaglio ulteriore per evitare che possano essere sfruttati velocemente. La conferma stessa da parte di Google significherebbe per tecnici malintenzionati un punto di partenza per lavorare sul bug.

Dispositivo coinvolti

Apparentemente, la ricerca di Google si è concentrata su dispositivi che utilizzavano un componente modem baseband con marchio Samsung Exynos, ma ciò non significa necessariamente che il SoC si identificherebbe o si marchierebbe come Exynos.

Ad esempio, i recenti dispositivi Pixel di Google utilizzano il SoC Tensor di Google, ma sia Pixel 6 che Pixel 7 sono vulnerabili a questi baseband bug. Bisogna tener conto delle possibili differenti catene di assemblaggio quindi le informazioni vanno comunque prese con le “molle”.

I prodotti interessati probabilmente includono:

  • Dispositivi Samsung, inclusi quelli delle serie S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 e A04;
  • Dispositivi mobili di Vivo, inclusi quelli delle serie S16, S15, S6, X70, X60 e X30;
  • Dispositivi Pixel 6 e Pixel 7 di Google; 
  • Tutti i veicoli che utilizzano il chipset Exynos Auto T5123.

Google afferma che il baseband firmware di Pixel 6 e Pixel 7 è stato aggiornato come parte degli aggiornamenti di sicurezza Android di marzo 2023. Gli utenti Pixel quindi dovrebbero assicurarsi di disporre delle patch più recenti per i propri dispositivi. Peraltro aggiornare sempre il sistema operativo all’ultima versione disponibile è il consiglio che diamo sempre in questi casi.

Per gli altri dispositivi i diversi fornitori potrebbero impiegare tempi diversi per pubblicare i propri aggiornamenti.

Nel frattempo Google suggerisce di:

  • Disattiva le chiamate Wi-Fi;
  • Disattiva Voice-over-LTE (VoLTE).

Google afferma: “la disattivazione di queste impostazioni rimuoverà il rischio di sfruttamento di queste vulnerabilità”.


FONTE

Tech

Xiaomi HyperOS rollout globale: ecco i 20 dispositivi che riceveranno l’aggiornamento

Tempo di lettura: < 1 minuto. Xiaomi annuncia il rollout globale di HyperOS per oltre 20 dispositivi, promettendo miglioramenti dell’esperienza utente e prestazioni fluide.

Pubblicato

in data

Xiaomi HyperOS logo Ufficiale
Tempo di lettura: < 1 minuto.

Xiaomi ha annunciato un importante aggiornamento con il rollout globale di HyperOS, previsto per la prima metà del 2024. HyperOS, che sostituisce MIUI come skin personalizzata di Xiaomi su Android, promette miglioramenti significativi nell’esperienza utente, portando prestazioni fluide e una serie di funzioni convenienti.

Dispositivi globali Xiaomi eligibili per l’aggiornamento HyperOS

Tra i dispositivi che riceveranno HyperOS ci sono:

  • Xiaomi 13, 13 Pro, 13 Ultra, 13 Lite
  • Xiaomi 12, 12 Lite, 12 Pro, 12X, 12T, 12T Pro
  • Xiaomi 13T, 13T Pro

Inoltre, diversi dispositivi Redmi riceveranno anche l’aggiornamento, tra cui:

  • Redmi Note 13 4G, Note 13 5G, Note 13 Pro 4G, Note 13 Pro 5G, Note 13 Pro Plus 5G
  • Redmi Note 12 5G, Note 12 Pro 5G, Note 12 Pro Plus 5G

Anche alcuni tablet Xiaomi e Redmi, come il Xiaomi Pad 6 e il Redmi Pad SE, sono nella lista degli aggiornamenti.

Caratteristiche e aspettative

Con questo rollout, HyperOS si focalizza sul miglioramento dell’esperienza utente rispetto al suo predecessore MIUI, mantenendo la base Android ma introducendo affinamenti in molteplici aspetti. Dopo il debutto in Cina con la serie Xiaomi 14, HyperOS sta ora espandendo la sua presenza a livello globale, iniziando con il lancio del Poco X6 Pro al di fuori della Cina.

L’annuncio di Xiaomi segna un passo importante nell’evoluzione del suo ecosistema software, con l’obiettivo di offrire un’esperienza utente migliorata e più personalizzata su una vasta gamma di dispositivi. Gli utenti di Xiaomi in tutto il mondo possono aspettarsi prestazioni ottimizzate e funzionalità innovative con l’arrivo di HyperOS nei prossimi mesi.

Prosegui la lettura

Tech

Windows 11 Beta e Microsoft Copilot: innovazioni per utenti e Galaxy

Tempo di lettura: 2 minuti. Scopri le ultime innovazioni di Microsoft con l’aggiornamento Windows 11 Beta e l’introduzione di Copilot come assistente digitale predefinito su dispositivi Galaxy.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Microsoft ha recentemente introdotto aggiornamenti significativi per gli utenti di Windows e dispositivi Galaxy, segnando un passo avanti nel campo dell’assistenza digitale e dell’esperienza utente.

Windows 11 Insider Preview Build 22635.3212: novità dal Canale Beta

Gli Insider di Windows 11 nel Canale Beta hanno ricevuto l’aggiornamento alla Build 22635.3212 (KB5034845), portando con sé miglioramenti e nuove funzionalità. Tra le novità, spiccano:

Aggiornamenti Graduali: Gli utenti del Canale Beta che attivano l’opzione per ricevere gli ultimi aggiornamenti possono aspettarsi il rollout graduale di nuove caratteristiche.

Risoluzione di Problemi: Sono stati corretti problemi relativi alla taskbar e alla funzionalità di ricerca, migliorando l’esperienza complessiva d’uso.

Notifiche per Widget: Si introduce una nuova esperienza di notifica per i Widget, che avviserà gli utenti sulle notifiche perse direttamente dalla taskbar.

Microsoft Copilot: assistente digitale disponibile anche su Galaxy

Microsoft ha esteso le capacità del suo app Copilot, ora disponibile come assistente digitale predefinito sui dispositivi Galaxy. Con l’ultima versione beta dell’app (27.9.420225014), gli utenti possono:

Accedere a Copilot: Attivando Copilot come assistente digitale predefinito, gli utenti possono accedervi facilmente con una lunga pressione sul pulsante home/power o con uno swipe diagonale dall’angolo dello schermo.

Funzionalità AI: Copilot offre una vasta gamma di funzioni basate sull’intelligenza artificiale, tra cui la risposta a domande, la creazione di contenuti e immagini.

Sebbene Copilot non offra ancora la stessa profondità di integrazione sullo schermo come altri assistenti digitali, come Google Assistant o Bixby, il suo potenziale di crescita è significativo, promettendo miglioramenti futuri.

Questi sviluppi da parte di Microsoft riflettono l’impegno dell’azienda nell’innovazione tecnologica e nel miglioramento continuo dell’esperienza utente, sia attraverso aggiornamenti di sistema operativo che mediante soluzioni di assistenza digitale avanzate.

Prosegui la lettura

Tech

Apple Vision Pro vuole risolvere il problema del mal di testa

Tempo di lettura: 2 minuti. Scopri come gestire il mal di movimento con l’Apple Vision Pro, dalle cause ai consigli per mitigare i sintomi e migliorare l’esperienza VR/AR.

Pubblicato

in data

Apple Vision Pro
Tempo di lettura: 2 minuti.

L’Apple Vision Pro rappresenta un significativo passo avanti verso la diffusione degli headset VR e AR, ma tuttavia, per molti, è anche la prima occasione per sperimentare gli aspetti negativi di questa tecnologia, in particolare il mal di testa. Se hai riscontrato sintomi di mal di movimento utilizzando l’Apple Vision Pro, non sei solo.

Comprendere il mal di testa

Il mal di movimento, talvolta definito come “sindrome da realtà virtuale”, è comune con tutti gli headset VR e AR. È causato dalla discrepanza tra ciò che il corpo vede e ciò che sente, provocando un disorientamento che può avere effetti spiacevoli per ore, anche dopo aver rimosso l’headset.

Nonostante Apple abbia adottato numerose misure per prevenire questo problema, come alti tassi di aggiornamento, bassa latenza e alta risoluzione, l’uso prolungato dell’headset Apple Vision Pro può comunque causare mal di testa. I sintomi comuni includono vertigini, nausea, mal di stomaco, mal di testa, affaticamento, sudorazione e perdita di concentrazione.

Strategie di mitigazione

Fortunatamente, ci sono passaggi che puoi intraprendere per mitigare gli effetti del mal di movimento:

  • Riduci i tempi di utilizzo: Inizia con sessioni non superiori a 20-30 minuti.
  • Siediti: Utilizzare l’Apple Vision Pro seduti può ridurre il mal di movimento, dato che il mondo esterno non si muove.
  • Limita i movimenti della testa: Anche da seduti, muovere rapidamente la testa da un lato all’altro può innescare vertigini o nausea.
  • Mantieniti fresco: Il surriscaldamento e la sudorazione possono aggravare gli effetti del mal di movimento. Cerca di rimanere fresco e considera di aprire una finestra per far circolare aria fresca.
  • Rendi confortevole l’headset: Regola l’headset per massimizzare il comfort. Un headset troppo stretto può causare mal di movimento o mal di testa.
  • Evita contenuti eccessivamente immersivi: Alcuni contenuti, come i film in 3D, sono più propensi a scatenare il mal di movimento. Evitali se sei nuovo all’esperienza VR/AR.
  • Riduci il movimento nelle impostazioni: Alcune app consentono di ridurre il movimento. Accedi a questa opzione tramite

Impostazioni > Accessibilità > Movimento e attiva l’opzione Riduci Movimento.

Se i sintomi persistono o sono particolarmente intensi, è consigliabile interrompere l’uso dell’Apple Vision Pro. Se non riesci a rinunciare all’uso, consulta il tuo medico per esplorare ulteriori opzioni.

Prosegui la lettura

Facebook

CYBERSECURITY

Notizie2 ore fa

Nuova minaccia nel Cyberspazio: steganografia e Remcos RAT

Tempo di lettura: 2 minuti. UAC-0184' utilizza steganografia per diffondere RAT Remcos, ampliando i bersagli a entità extra-ucraine

Ultimate Member Wordpress Ultimate Member Wordpress
Notizie3 ore fa

Ultimate Member: vulnerabilità critica SQL in Plugin WordPress – AGGIORNARE SUBITO

Tempo di lettura: 2 minuti. Scoperta vulnerabilità critica SQLi in plugin WordPress 'Ultimate Member', minacciando oltre 200.000 siti. Aggiornamento urgente...

FCKeditor FCKeditor
Notizie13 ore fa

Hacker sfruttano CMS FCKeditor vecchio di 14 Anni per “avvelenamento” SEO su siti governativi e educativi

Tempo di lettura: 2 minuti. Gli hacker stanno sfruttando FCKeditor, un editor CMS obsoleto, per compromettere siti governativi ed educativi...

Notizie20 ore fa

Tutto ciò che devi sapere sulla Direttiva NIS2 e quali obblighi prevede

Tempo di lettura: 2 minuti. Scopri come adeguarsi ai nuovi obblighi di cybersicurezza introdotti dalla Direttiva NIS2 dell'UE contro le...

Notizie2 giorni fa

Cyberattacco alla Polizia canadese: indagini in corso e Sito Web inaccessibile

Tempo di lettura: < 1 minuto. L'RCMP canadese sta indagando su un cyberattacco che ha reso inaccessibile il suo sito...

CISA CISA
Notizie4 giorni fa

CISA rafforza la Sicurezza dei Sistemi di Controllo Industriale e mitiga CVE-2024-1709

Tempo di lettura: 2 minuti. CISA rilascia un advisory sui sistemi di controllo industriale e aggiunge la vulnerabilità CVE-2024-1709 di...

lockbit boeing lockbit boeing
Notizie5 giorni fa

Sventato l’Encryptor LockBit 4.0, arrestati padre e figlio in Ucraina

Tempo di lettura: < 1 minuto. Arresti in Ucraina e rivelazione di LockBit-NG-Dev segnano successi contro il ransomware LockBit.

Joomla logo Joomla logo
Notizie5 giorni fa

Joomla risolve vulnerabilità XSS che potrebbero esporre i siti a attacchi RCE

Tempo di lettura: 2 minuti. Joomla affronta cinque vulnerabilità XSS che potrebbero consentire attacchi RCE, con correzioni disponibili nelle versioni...

Notizie5 giorni fa

Microsoft espande le capacità di Log gratuite dopo il breach di maggio

Tempo di lettura: 2 minuti. Microsoft amplia le funzionalità di log gratuite dopo un breach di Exchange Online, garantendo a...

Sony Playstation Passkey Sony Playstation Passkey
Notizie5 giorni fa

Sony introduce il supporto per le Passkey negli account PlayStation

Tempo di lettura: < 1 minuto. Sony annuncia il supporto per le passkey negli account PlayStation, offrendo un accesso più...

Truffe recenti

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste1 settimana fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia2 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie2 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie3 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie4 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie4 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie4 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie5 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online5 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Notizie5 mesi fa

Nuovo avviso della Polizia Postale: attenzione allo “Spoofing telefonico”

Tempo di lettura: 2 minuti. Attenzione ai tentativi di truffa tramite "Spoofing telefonico": la Polizia Postale avvisa e fornisce consigli...

Tendenza